Bảo mật dữ liệu sinh trắc học khi triển khai chấm công bằng camera

Bảo mật dữ liệu sinh trắc học khi triển khai chấm công bằng camera

Khi doanh nghiệp chuyển từ máy chấm công thẻ từ hay vân tay sang phần mềm chấm công bằng camera nhận diện khuôn mặt, một loại tài sản mới xuất hiện trong hệ thống: dữ liệu sinh trắc học của người lao động. Khác với mật khẩu có thể đổi hay thẻ từ có thể cấp lại, khuôn mặt là thứ gắn liền vĩnh viễn với mỗi con người. Nếu bị rò rỉ, thiệt hại không thể khắc phục bằng cách “đổi lại”. Vì vậy, bảo mật dữ liệu sinh trắc học không phải là tính năng phụ mà là điều kiện tiên quyết để một hệ thống chấm công camera được phép vận hành.

Vì sao dữ liệu khuôn mặt được xếp vào nhóm nhạy cảm

Dữ liệu khuôn mặt cho phép định danh một cá nhân cụ thể mà không cần sự hợp tác của họ. Chỉ cần một tập dữ liệu bị lộ, kẻ xấu có thể dùng để vượt qua các hệ thống xác thực khác, dựng video giả mạo, hoặc theo dõi hành vi. Trong bối cảnh nhiều tổ chức dùng chung một khuôn mặt cho cả chấm công, mở cửa và thanh toán, một điểm rò rỉ có thể kéo theo chuỗi rủi ro dây chuyền. Đây là lý do pháp luật ở hầu hết các quốc gia đều xếp sinh trắc học vào nhóm dữ liệu cần bảo vệ ở mức cao nhất.

Khung pháp lý tại Việt Nam mà doanh nghiệp phải nắm

Tại Việt Nam, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân định nghĩa rõ dữ liệu sinh trắc học là dữ liệu cá nhân nhạy cảm. Điều này kéo theo nhiều nghĩa vụ pháp lý cụ thể: doanh nghiệp phải có cơ sở pháp lý để xử lý, phải thông báo cho chủ thể dữ liệu, phải bảo đảm các biện pháp kỹ thuật tương xứng, và trong nhiều trường hợp phải lập hồ sơ đánh giá tác động xử lý dữ liệu. Bên cạnh đó, Bộ luật Lao động cũng quy định người sử dụng lao động không được xâm phạm đời tư của người lao động quá mức cần thiết cho mục đích quản lý. Nói cách khác, việc lắp camera chấm công không tự động cho phép doanh nghiệp lưu trữ và sử dụng khuôn mặt nhân viên vào bất kỳ mục đích nào.

Thu thập có sự đồng ý và minh bạch

Trước khi đưa một nhân viên vào hệ thống, doanh nghiệp nên có văn bản thông báo và thu thập sự đồng ý rõ ràng. Văn bản này cần nêu: dữ liệu nào được thu thập, mục đích duy nhất là chấm công, thời gian lưu trữ, ai được truy cập, và quyền của người lao động khi muốn rút lại đồng ý. Một thực hành tốt là cung cấp phương án thay thế cho những người thực sự không muốn đăng ký khuôn mặt vì lý do cá nhân hay tôn giáo, ví dụ dùng mã PIN hoặc thẻ cho nhóm nhỏ này. Sự minh bạch ngay từ đầu giúp giảm mâu thuẫn nội bộ và tránh khiếu nại về sau.

Lưu trữ dạng đặc trưng thay vì ảnh gốc

Một trong những quyết định kỹ thuật quan trọng nhất là chọn lưu gì trong cơ sở dữ liệu. Các hệ thống thiết kế tốt không lưu ảnh khuôn mặt nguyên bản mà chuyển đổi khuôn mặt thành một vector đặc trưng, thường gọi là template hay embedding. Đây là một chuỗi số học không thể tái tạo ngược lại thành ảnh gương mặt ban đầu. Nhờ vậy, ngay cả khi cơ sở dữ liệu bị đánh cắp, kẻ tấn công cũng không có được kho ảnh chân dung của toàn bộ nhân sự. Khi lựa chọn nhà cung cấp, doanh nghiệp nên đặt câu hỏi thẳng: phần mềm lưu ảnh hay lưu template, và template có được mã hóa hay không.

Mã hóa, phân quyền và nhật ký truy cập

Dù lưu ở dạng nào, dữ liệu sinh trắc học cần được mã hóa cả khi lưu trữ (at rest) lẫn khi truyền qua mạng (in transit) bằng các giao thức như TLS. Bên cạnh mã hóa, cần thiết lập nguyên tắc đặc quyền tối thiểu: chỉ vài người thực sự cần mới có quyền xem dữ liệu gốc, còn quản lý cấp phòng ban chỉ nên thấy kết quả chấm công đã tổng hợp chứ không thấy dữ liệu thô. Mọi hành động truy cập, xuất dữ liệu hay chỉnh sửa cần được ghi lại trong nhật ký hệ thống (audit log) kèm thời gian và người thực hiện. Khi có sự cố, chính nhật ký này giúp truy vết ai đã làm gì.

On-premise hay đám mây

Nhiều doanh nghiệp băn khoăn giữa việc đặt máy chủ tại chỗ hay dùng dịch vụ đám mây. Cả hai đều khả thi nếu cấu hình đúng. Đặt tại chỗ giúp dữ liệu không rời khỏi hạ tầng công ty, phù hợp với đơn vị có bộ phận IT đủ mạnh để tự bảo trì và vá lỗi. Dùng đám mây giúp giảm gánh nặng vận hành nhưng đòi hỏi nhà cung cấp phải cam kết rõ về vị trí đặt máy chủ, tiêu chuẩn bảo mật và trách nhiệm khi xảy ra rò rỉ. Với dữ liệu sinh trắc học, hợp đồng nên có điều khoản về việc dữ liệu đặt tại Việt Nam và không được chuyển cho bên thứ ba nếu không có sự đồng ý.

Chính sách lưu giữ và xóa dữ liệu

Một nguyên tắc thường bị bỏ quên là dữ liệu không được giữ mãi mãi. Khi nhân viên nghỉ việc, template khuôn mặt của họ nên được xóa trong một khoảng thời gian hợp lý sau khi hoàn tất các nghĩa vụ liên quan đến lương và quyết toán. Doanh nghiệp cần có quy trình rõ ràng: ai chịu trách nhiệm xóa, sau bao lâu, và cách chứng minh việc xóa đã thực hiện. Giữ dữ liệu của người đã rời công ty nhiều năm không những vô ích cho việc chấm công mà còn làm tăng bề mặt rủi ro nếu hệ thống bị tấn công.

Danh mục kiểm tra trước khi vận hành

  • Đã có văn bản thông báo và đồng ý của toàn bộ nhân sự tham gia.
  • Phần mềm lưu template mã hóa thay vì ảnh gốc.
  • Dữ liệu được mã hóa khi lưu và khi truyền qua mạng.
  • Phân quyền theo nguyên tắc đặc quyền tối thiểu, có nhật ký truy cập.
  • Có phương án thay thế cho người không đăng ký khuôn mặt.
  • Có quy trình xóa dữ liệu khi nhân viên nghỉ việc.
  • Hợp đồng với nhà cung cấp nêu rõ trách nhiệm bảo mật và vị trí lưu trữ.

Bảo mật dữ liệu sinh trắc học không làm chậm quá trình triển khai mà ngược lại, giúp hệ thống chấm công camera đứng vững trước rủi ro pháp lý và mất niềm tin. Một doanh nghiệp coi trọng dữ liệu khuôn mặt của nhân viên cũng đang gửi đi thông điệp rằng họ tôn trọng chính con người trong tổ chức mình.